学习
实践
活动
工具
TVP
写文章

一个简单的icloud.com存储型XSS分析

今天的Writeup是印度安全工程师发现的苹果网站icloud.com存储型XSS漏洞,漏洞非常简单,但却收获了苹果官方$5000的奖励。一起来看看其漏洞发现过程。 漏洞发现 在决定做苹果公司的漏洞众测之后,我就选定了网站icloud.com做为测试目标,决心在其系统中发现漏洞。我尝试了CSRF、IDOR、业务逻辑漏洞等测试,但都一无所获。最后,我打算看看XSS。 于是,我注册登录了icloud.com网站,尝试把XSS Payload插入在各种可以用户输入的区域。最终,我幸运地发现了一个输入区域可以触发存储型XSS。 漏洞复现 1、打开https://www.icloud.com/pages/ 或 https://www.icloud.com/keynotes页面; 2、新创建Pages(文稿) 或 Keynote(

29030

苹果iCloud服务已开启两步验证系统

苹果公司已经在iCloud.com服务中启用了两步验证系统,在用户访问iCloud.com的各种应用前,要求其首先输入验证码。 Mail、Contacts、Calendar、Reminder、Pages、Numbers和Keynote等iCloud.com应用,都必须输入验证码才能使用,但Find My iPhone仍然可以直接用密码访问 用户在通过网络浏览器登录iCloud服务前,会收到一封包含验证码的电子邮件。只有正确输入了验证码,方可访问上述服务。 这一功能的部署正值好莱坞艳照门广为流传之际。 在此次事件爆发后,苹果CEO蒂姆·库克(Tim Cook)承诺将提高iCloud的安全性,不仅会启用两步验证系统,而且会在设备被修复、iCloud被访问或密码被修改时向用户发送提醒。 事实上,苹果早在今年6月就开始针对iCloud.com测试两步验证安全措施,远早于iCloud。但该功能直到今天才正式部署。

96030
  • 广告
    关闭

    【11.11特惠】对象存储COS新用户1元起

    腾讯云对象存储COS新用户专享1元购,标准存储500GB仅需99元/年,加10元容量再翻倍!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    漫谈存储

    这篇文章也是,谈谈存储的时候,再来聊聊其他的一些想法。 计算 计算已经遍地开花,各种层面的运维已经漫地都是。。。IAAS层的运维,PAAS层的运维,SAAS层的运维。。。 而当使用所谓的申请虚拟机的时候,是否需要持久化存储,是否需要存储?数据存储在哪里?分布式存储。。。 上。。。。最重要的莫过于存储!!! 存储 心到处流浪,无处安放总是不好的,所以总要找一个人,寻一座城,进行持久化存储。。。这就是存储的由来。。。 为啥需要存储存储的好处太多,但是在底层基本都是分布式存储,其实存储也就是分布式存储,只不过进行了一层封装,这就是为什么那么多人需要打扮的花枝招展,不然怎么招蜂引蝶。。。 需要存储哪些数据? 大数据。。。存储存储中。 虚拟机VM的快照备份信息。。。存储存储中。 数据库的备份binlog信息。。。存储存储中。

    56860

    存储基础

    存储基础 使用uniCloud的存储,无需再像传统模式那样单独去购买存储空间、CDN映射、流量采购等; 文件上传至存储有3种方式: uniCloud Web控制台:点击存储,通过web界面进行文件上传 由于安全原因暂时禁止存储内上传html文件。 在uniCloud由阿里提供的空间里,存储总文件量上限为10GB,单文件大小限制为100MB,自带CDN并且完全免费。 ,不能删除存储中的文件。 ,再由函数上传到存储,应该在客户端直传存储存储常用文件处理 在访问存储中的图片或视频文件时,我们可以通过追加一些参数来即时处理文件。

    37120

    大话存储

    1、存储的官方定义 存储是一个以数据存储和管理为核心的计算系统 即是指通过集群应用、网格技术或分布式文机房集中监控系统件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作, 存储设备横向扩展的方式让存储系统具有了无限扩展的能力,能够实现控制器与硬盘的同时扩展,即性能与容量可以同时实现线性扩展,存储一般可以分为私有存储、公有存储。 ,存储领域也必须正面和直视这个问题! 3、存储计算的关系 当计算系统运算和处理的核心是大量数据的存储和管理时,计算系统中就需要配置大量的存储设备,那么计算系统就转变成为一个存储系统,所以存储是一个以数据存储和管理为核心的计算系统 ,小存量文件也可以存储到自己的邮箱内 5、企业用户存储计算技术如何保障数据安全 存储的一大优势在于其弹性,其实更准确说最初存储产品的安全性是产品的附加属性。

    81560

    腾讯存储网关提供混合存储服务,实现数据分层存储

    存储网关(Cloud Storage Gateway,CSG)是腾讯提供的混合存储服务。 05 海量存储 CSG 能够配合公有对象存储 COS 提供海量的数据存储,单个文件系统最大支持1PB。 通过在腾讯上部署创建存储网关CSG,您无需关心本地应用与存储的兼容性,CSG可以在无感知的状态下实现协议转化,将数据以原始格式上传COS。 02 数据扩容 拓展本地 NAS 和 SAN 存储阵列需要耗费硬件成本和人力部署成本,您只需要在本地部署存储网关 CSG 将公有存储接入到本地存储系统架构,即可享受安全稳定、海量、低成本的公有服务。 写在最后 腾讯存储网关通过本地存储空间缓存了热点数据,保证了前端应用的本地访问性能,同时又可以利用上海量的存储空间。

    39730

    腾讯存储网关提供混合存储服务,实现数据分层存储

    存储网关(Cloud Storage Gateway,CSG)是腾讯提供的混合存储服务。 05 海量存储 CSG 能够配合公有对象存储 COS 提供海量的数据存储,单个文件系统最大支持1PB。 通过在腾讯上部署创建存储网关CSG,您无需关心本地应用与存储的兼容性,CSG可以在无感知的状态下实现协议转化,将数据以原始格式上传COS。 02 数据扩容 拓展本地 NAS 和 SAN 存储阵列需要耗费硬件成本和人力部署成本,您只需要在本地部署存储网关 CSG 将公有存储接入到本地存储系统架构,即可享受安全稳定、海量、低成本的公有服务。 写 在 最 后 腾讯存储网关通过本地存储空间缓存了热点数据,保证了前端应用的本地访问性能,同时又可以利用上海量的存储空间。

    31730

    群晖自动下载iCloud照片并备份到百度

    图片然后进入存储空间设置,本地目录自信创建文件夹,对应容器内目录:/config目录用来存放iCloud Cookie,iCloud目录用来存放下载的照片视频等。 图片进行初始化:sync-icloud.sh --Initialise正常会出现如下界面:2020-08-06 16:45:58 INFO ***** boredazfcuk/icloudpd container for icloud_photo_downloader started *****2020-08-06 16:45:58 INFO Alpine Linux v3.122020 如果报错,绝大概率是权限问题,解决方案如下:刚刚提到了download_path,如果你指定目录,则给指定目录上权限,例如指定了/iCloud:chmod 750 你指定目录chmod 750 /iCloud touch .mounted最后用Cloud Sync连接到自己的百度账户,并且新建任务开启加密。建议开加密,为了隐私,防止被用个人照片进行训练模型(不一定)。图片

    16610

    Windows ChromeEdge同步iCloud密码

    电脑都用微软的Edge浏览器(Chrome因为国内网络原因无法正常使用),如果不想用Edge浏览器而是想用Safari,这个教程可能会对你有用 配置 首先去微软应用商店(Microsoft Store)下载iCloud 应用,然后打开登录,你能在iCloud主页看到密码同步的选项,选中它们并前往对应的浏览器中安装扩展 浏览器中安装完扩展后记得重启浏览器,并且在iCloud中选中后点击下面的apply(应用) 我这里的扩展安装变成了移除 ,因为我安装过了,没有安装过的应该是“安装扩展”的按钮 Chrome扩展商店对应的iCloud密码插件 Edge扩展商店对应的iCloud密码插件 安装后配置 安装完成后点击浏览器中扩展图标,此时会提醒你输入 PIN,这个时候电脑右下角会弹出iCloud的PIN,输入即可完成同步 常见问题 Q:安装完插件后点击图标提示我要安装iCloud,实际上我已经安装过了 A:重启浏览器

    14120

    存储(对象存储)性价比小谈

    概述 这几年存储成为计算领域最为火热的产品之一,大家众说纷“”,互联网的未来就是数据争抢的未来,所有数据都会优选存储在云中。 一般存储会分几种类型:对象存储(冷、热数据存储)、块存储、表格存储等,今天主要是评测的是对象存储中的热存储,小编带着大家一起通过性价比的对比方式来给各个厂商排出名次。 ,例如华为对象存储是华北区,在华为上购买的弹性(测试机)也是华北区,阿里存储是北京区的,测试机(ECS)也选用北京区的,小编在测试AWS的时候,AWS的华北区仅仅是预览版,所以选择了AWS的俄勒冈 60%)/(存储TPS性能相对值/4*40%) 存储RT性能相对值=阿里/AWS(GET1K文件(RT))+阿里/AWS(PUT1K文件(RT))+阿里/AWS(GET1M文件(RT)+阿里 (PUT1M文件(TPS)) 价格相对值=AWS的存储价格/阿里存储价格 注:/ 符号为除以符号;用阿里的值作绝对值,另以上RT性能越小越好,所以用阿里/AWS,TPS性能越大越好,所以用AWS

    1.5K50

    存储深层解析

    存储变得越来越热,大家众说纷””,而且各有各的说法,各有各的观点,那么到底什么是存储?    1 什么是存储   存储计算 (cloud computing)概念上延伸和发展出来的一个新的概念。 使用者使用存储,并不是使用某一个存储设备,而是使用整个存储系统带来的一种数据访问服务。所以严格来讲,存储不是存储,而是一种服务。 四、访问层:   任何一个授权用户都可以通过标准的公用应用接口来登录存储系统,享受存储服务。存储运营单位不同,存储提供的访问类型和访问手段也不同。 3 存储的技术前提   从上面的存储结构模型可知,存储系统是一个多设备、多应用、多服务协同工作的集合体,它的实现要以多种技术的发展为前提。

    1K60

    玩转文件存储

    导语 腾讯文件存储 CFS 终于可算发布了。在这之前我们已经有了本地硬盘、硬盘、SSD 硬盘、对象 存储(COS)、归档存储等这么多种存储产品,为什么还需要一种新的产品呢? 在以往,为了实现集群中的一组服务器上的登录状态共享,经常需要修改默认的会话逻辑,比如另外搭建或者采购一个memcache/redis等缓存服务来存储会话,或者干脆用数据库来存储会话。 这样不但麻烦,而且为了避免这个存储会话的服务成为新的系统单点往往还要做更多的保障工作,比如做主从设计等等。 搭配弹性伸缩服用效果更佳 弹性伸缩服务可以按需为上的系统提供恰到好处的计算和分发能力,但是 A.在遭遇系统扩容的时候,用旧镜像新生成的扩容服务器经常数据不是最新的,需要做额外的工作来同步 B. 这样腾讯默认的系统缩扩容就难以全自动的完成缩扩容所需要的全部工作了。 A问题也许还好一点,我们可以在服务器镜像中前置一个开机任务来追上新数据。

    2.9K40

    存储的利与弊

    简而言之,存储的优势在于可扩展性、场外管理、快速部署,以及较低的前期成本。此外,在一个总是需要更多储容量的世界中,存储提供了无限的额外容量。 毫无疑问,很多人对于计算存储的优点和缺点一直在进行讨论。对于每个公共存储的倡导者来说,似乎总有反对者准备将公共存储拒之门外。对于计划将数据迁移到云端的组织来说,似乎存在着潜伏的云梦魇。 存储的优点 简而言之,存储的优势在于可扩展性、场外管理、快速部署,以及较低的前期成本。此外,在一个总是需要更多储容量的世界中,存储提供了无限的额外容量。 存储的缺点 总而言之,存储的缺点主要集中在合规性、总体生命周期成本、对安全性的疑虑以及速度问题上。而如果数据集对组织的持续存在至关重要,则通常不会只存储在云中。 尽管存储在基准测试中取得了一些很好的结果,但在Nexsan公司的调查中,22%的受访者表示公共存储的主要障碍是下载和上传文件所需的时间。

    2.8K10

    混合存储打开的正确姿势——腾讯存储网关 CSG

    近年来,随着计算的发展,越来越多的企业选择将IT系统基础设施转移到上,上有助于推动企业加快信息化、数字化、智能化的转型,但是很多企业对传统的业务系统依赖程度较高,短时间内将业务迁移上将会面临很多风险 腾讯存储网关 CSG 可以完美的解决这个问题,企业无需改变传统的业务架构,整个上过程对用户现有的业务几乎没有任何影响,同时,用户可根据业务需要实现容量的自动扩缩容,而且对于上后的数据,用户也可以利用对象存储 存储网关优势 1、简单易用 CSG 提供协议转换机制,企业可以在不改变原有业务架构的情况下使用 COS ,无需任何学习成本即可无缝上。 二、线上部署 对于已经将部分业务迁移至上的用户,通过购买一体化的 CSG 存储网关,可以让数据更好的接入整个对象存储 COS 的生态中,以低成本挖掘数据价值,为业务赋能。 线上部署.png 线上部署模式,可以方便用户在不改变业务架构的前提下,将上业务接入海量无上限的对象存储 COS,进一步盘活上的业务体系,扩展更大的潜在商机。

    41910

    存储备份有何区别?

    存储和备份一直是企业IT业务重要的组成部分,随着计算、大数据的兴起,存储备份已经逐渐取代传统的存储和备份业务,成为计算重要的落地应用。那么,如何去区分二者呢? 概念上区分 存储是将一个鸡蛋放在一个篮子里,而备份则是把一个鸡蛋复制成多个鸡蛋,然后放在不同的篮子里。引入的概念后,存储的位置由物理存储转变为网络存储,也就衍生出了存储备份的概念。 具体来说,存储是托管服务供应商(MSP)提供的基于存储服务,比如AWS、七牛;备份是把数据(包括结构化数据和非结构化数据)通过存储的方式备份在网络上面。比如Commvualt、多备份。 存储可以看作是IaaS,而备份可以看作是SaaS,备份是建立在存储的基础上。   打个比方:存储就好像提供了一个盒子,而备份则提供了将数据放进盒子的具体动作。 当然,存储在给了你这个盒子的时候,也会在盒子上开一个洞,便与你存入数据。存储的主要的核心卖点是提供存储空间、存储加速等服务。

    38930

    开发---uniapp开发(二)---存储基础

    开发系列 视频 https://www.bilibili.com/video/BV1eK4y1p7Qe 我们之前已经讲了 函数的使用 开发---uniapp开发(一)---服务空间创建以及部署一个函数 开发---uniapp开发函数练习---整合百度ai图像识别SDK 这次我们来一起学习 存储的使用 文档地址 https://uniapp.dcloud.io/uniCloud/storage http://i0.hdslb.com/bfs/archive/52b78eb6e48dc657149f3c0415bbf83a73d64f0e.jpg)(title-开发系列) 存储基础 服务空间的存储

    85810

    私有存储如何构建?

    构建内部的存储必须考虑到弹性、选择正确的平台、支持工作流,以及批量部署和跟公有的集成。 随着时间的推移,存储即服务的交付进展惊人。 这种运维的灵活性在数据中心里很引人注意,比起传统的存储部署方式,它提供了更大的便捷性和敏捷性。 如何构建自己的私有存储呢?我们首先退后一步,思考一下计算到底意味着什么。 在企业里,IT仍然需要负责这些事情,当然如果你购买了公有存储的话,这些都在服务供应商(CSP)的服务范围内。 选择平台 有正确的存储平台是高效部署新硬件的关键。 即用即付 可以使用信用卡购买公有资源,滞后付款。工作流的改动意味着很多企业需要在部署内部存储时实现支付和退款。 在私有里,目标是让流程尽可能地自动化。 你还可以为使用公有存储负责突发的工作负载和归档。 在本地以及公有地址之间移动应用和数据的产品已经出现在市场上了。

    99750

    腾讯-对象存储介绍

    对象存储分享结构 首先介绍存储的分类,并主要介绍对象存储的分类,接着介绍用户的常见问题包括计费项和计费周期,最后介绍对象存储的控制台和使用案例。 腾讯CDN产品使用介绍:https://www.bilibili.com/video/BV1ft4y1S7MS image.png 存储 存储大类 块存储(cbs,Cloud Block Storage ) :提供块级别存储, 类似的产品例如aws ebs, ceph rdb,tencent cbs(硬盘)等, 通常使用scsi, iscsi协议,数据协议共享, 存储效率高,特点是一个主机只能挂载一个硬盘 缺点是协议开销大, 效率不高,优点是数据易于共享,譬如一个cfs盘可以被多个主机挂载。 归档存储 归档存储提供了最低的存储单价,但读取数据的时候需要较长的解冻时间,因而适合需要长期保存数据的业务场景。

    2.7K3632

    扫码关注腾讯云开发者

    领取腾讯云代金券